RODO: Prawo bez autorytetu? Luksemburski organ nadzorczy ds. ochrony danych odmawia pokazania zębów amerykańskim firmom. noyb wnosi sprawę do sądu
Dzisiaj, noyb złożył odwołanie od dwóch decyzji luksemburskiego organu ochrony danych (CNPD) przed trybunałem administracyjnym Luksemburga w zasadniczej sprawie: organ oddalił dwie skargi wniesione przeciwko administratorom danych z siedzibą w USA, Apollo i RocketReach. CNPD wyraźnie potwierdziła, że ogólne rozporządzenie o ochronie danych (RODO) ma zastosowanie do tych spółek spoza UE. CNPD uznała jednak, że nie może egzekwować RODO od tych amerykańskich administratorów danych, pomimo wielu możliwości egzekwowania przepisów w UE. Decyzje te zasadniczo podważają stosowanie RODO do wszystkich zagranicznych firm na rynku UE - kluczową obietnicę prawa wprowadzonego w 2018 roku.
- Przeczytaj akty odwołania przed trybunałem administracyjnym tutaj (Apollo FR) i tutaj (Rocktreach FR).
- Można również przeczytać automatyczne tłumaczenie na język angielski tutaj (Apollo) i tutaj (Rocketreach).
Początkowe skargi do CNPD. Skarżący, mieszkaniec Luksemburga, odkrył, że jego dane były przetwarzane przez Apollo i RocketReach, dwie firmy z siedzibą w USA, które gromadzą i komercjalizują dane osobowe dostępne online. Widząc to, skarżący bezskutecznie próbował skorzystać z przysługujących mu na mocy RODO praw dostępu (art. 15) i usunięcia danych (art. 17). Ponieważ obaj administratorzy danych nie odpowiedzieli odpowiednio na jego wniosek o skorzystanie z jego praw wynikających z RODO, skarżący złożył skargi przeciwko Apollo i RocketReach do CNPD. Po kilku przypomnieniach ze strony skarżącego luksemburski organ ochrony danych odrzucił skargę na tej tylko podstawie, że administratorzy danych nie mieli przedstawiciela w UE (co samo w sobie stanowi naruszenie RODO), a zatem nie można było nałożyć skutecznych środków egzekucyjnych przeciwko tym administratorom danych. Nie przeprowadzono żadnego istotnego dochodzenia i nie podjęto żadnej decyzji.
Podważenie międzynarodowego zasięgu RODO. Decyzja luksemburskiego organu ochrony danych o oddaleniu skarg tylko dlatego, że administrator danych nie ma siedziby w UE, wyraźnie podważa międzynarodowe zastosowanie RODO, które było kluczową obietnicą złożoną obywatelom UE w momencie jego wprowadzenia. Prawo to wyraźnie obejmuje wszystkie firmy działające na rynku europejskim - bez względu na to, gdzie mają siedzibę.
"Jeśli organy ochrony danych odmówią egzekwowania RODO za każdym razem, gdy firma nie jest obecna w UE, będzie to tylko sygnał dla firm, aby pozostały za granicą w celu ominięcia prawa... To wersja RODO, w której morderstwo uchodzi na sucho" - Romain Robert, prawnik w noyb.eu.
Egzekwowanie RODO. Nawet jeśli firma nie jest obecna w UE, możliwe jest przeprowadzenie procedury i egzekwowanie przepisów RODO. Jeśli firma nie składa wniosków, zwykle po prostu rezygnuje z prawa do bycia wysłuchanym. Istnieje kilka ścieżek proceduralnych, aby wyegzekwować decyzję przeciwko podmiotowi zagranicznemu: od tradycyjnych narzędzi, takich jak zamrożenie aktywów u stron trzecich (takich jak banki lub klienci), aż po bardziej nowoczesne podejścia, takie jak blokowanie strony internetowej. Organy ochrony danych powinny wykorzystywać wszystkie możliwości wynikające z prawa krajowego w celu egzekwowania swoich decyzji, zamiast rezygnować z praw podstawowych.
"CNPD ma obowiązek zapewnić ochronę indywidualnych praw wynikających z RODO. Ma również środki, aby to zrobić dla zagranicznych firm, od zamrożenia aktywów w UE, aż po zablokowanie usługi. Egzekwowanie prawa UE wobec firm i osób, które nie współpracują lub ukrywają się za granicą, nie jest niczym nowym dla organów regulacyjnych i sądów. Ukrywanie się w innej jurysdykcji jest tak stare jak granice. Niemniej jednak istnieją narzędzia do prowadzenia sprawy. Wniesienie sprawy do sądu ma na celu zapewnienie, że CNPD faktycznie wykorzysta swoje uprawnienia do egzekwowania prawa w przyszłości i nie będzie już odrzucać sprawy tylko dlatego, że egzekwowanie prawa byłoby zbyt trudne lub uciążliwe" - Catherine Warin, prawniczka reprezentująca noyb w postępowaniu.
Nieaktywne umowy DPA: Ta sprawa pokazuje, że niektóre organy ochrony danych nadal śpią na swoich obowiązkach. Nie powinno i nie ujdzie im to na sucho. Może to być początek serii działań przeciwko organom ochrony danych, które pozostają nieaktywne pomimo kluczowej roli, jaką odgrywają w zapewnieniu przestrzegania unijnego prawa o ochronie danych. noyb będzie uważnie śledzić takie przypadki i monitorować skuteczne egzekwowanie RODO przez organy ochrony danych.
"CNPD wyraźnie potwierdziła, że GDPR ma zastosowanie do tych firm, ale postanowiła nie podejmować działań, twierdząc, że nie może wyegzekwować żadnej decyzji. Pozostawiło to skarżącego bez żadnej procedury egzekwowania jego podstawowych praw. CNPD uznała, że może po prostu odrzucić sprawę. Na szczęście RODO przewiduje, że osoby fizyczne powinny mieć skuteczny środek odwoławczy i mogą kwestionować decyzje organów ochrony danych przed sądami. Zwrócimy się teraz do sądu o wykonanie pracy, której CNPD odmówiła" - Romain Robert, prawnik w noyb.eu.
Aktualizacja:
- 21 kwietnia 2023 r. - sąd administracyjny (sąd pierwszej instancji) uznał sprawę za niedopuszczalną ze względu na brak legitymacji procesowej.
- 28 listopada 2023 r. - Wyższy Sąd Administracyjny stanął po stronie noyb. Uchylił decyzję z dnia 21 kwietnia 2023 r. i uznał, że odwołanie jest dopuszczalne. Odesłał sprawę do sądu administracyjnego pierwszej instancji, który ostatecznie musiał wydać decyzję.
- 24 września 2024 r. - sąd administracyjny uznał, że CNPD bezprawnie/niesłusznie postanowiła nie kontynuować rozpatrywania skargi. Odesłał sprawę do CNPD w celu jej rozpatrzenia.
- cNPD nie wydała jeszcze decyzji.
